Masterclass « RGPD pour les autorités publiques » de l’APD dans l’affaire des ANPR de Dilbeek

Date
30.04.2026

La commune de Dilbeek a dû comparaître devant la Chambre Contentieuse (CC) de l’Autorité de protection des données (APD) dans le cadre de son projet « Moins de trafic, mieux vivre ». À première vue, il s’agit d’un dossier portant sur la mobilité et les caméras ANPR, mais l’APD a saisi l’occasion pour en faire une véritable mini-masterclass « RGPD pour les autorités publiques », abordant notamment la base légale de l’intérêt public, le critère de nécessité, les « éléments essentiels », les autorisations d’accès au Registre national et à la DIV, la réalisation de DPIA, et bien plus encore.

Nous passons en revue les éléments pertinents et proposons déjà une analyse succincte d’une décision qui sera sans aucun doute examinée en détail lors de notre session Stay Tuned Overheid à l’automne 2026.

Le contexte

En décembre 2021, la commune de Dilbeek décide de mettre un terme au trafic de transit dans certaines rues en instaurant une interdiction de passage à certaines heures. L’article 4 du règlement communal fixe ce principe. Comment faire respecter une telle interdiction ? À l’aide d’autorisations et de caméras ANPR, bien entendu. Lorsqu’un véhicule sans autorisation circule dans ces rues aux heures interdites, une infraction est automatiquement enregistrée par le logiciel associé. Les détenteurs d’autorisation sont notamment les habitants, les commerçants, leurs visiteurs, les services communaux et les prestataires de soins.

La finalité du traitement est définie dans le règlement communal comme « limiter le trafic de transit sur certaines voiries soumises à une interdiction d’accès » et, dans la DPIA/GEB établie, comme « la lutte contre le trafic de transit ». Pour rendre cela possible, des données à caractère personnel sont évidemment traitées : nom, adresse, numéro de registre national, plaque d’immatriculation et, dans certains cas, images, numéros INAMI, employeur des personnes concernées, copie du certificat d’immatriculation, ainsi qu’un historique des visiteurs avec plaques d’immatriculation.

Le plaignant est une personne qui, en raison de ce dispositif, ne souhaitait plus se rendre dans le quartier, estimant le traitement illicite et refusant que ses données soient traitées. Le Service de Première Ligne a appliqué un principe déjà connu d’une affaire relative à un grossiste en boissons et à la carte eID, finalement tranchée par la Cour de cassation : lorsqu’une personne subit un désavantage en refusant un traitement (potentiellement) illicite de ses données, cela suffit à lui conférer un droit de déposer plainte.

La base légale de l’intérêt public et les éléments essentiels

Sans surprise, la commune invoque la base légale de « l’intérêt public », en se référant au décret sur l’administration locale et à la Nouvelle loi communale. Très bien, répond la CC, mais où les « éléments essentiels » sont-ils précisément définis ?

Ces éléments essentiels doivent figurer dans la législation sur laquelle le responsable du traitement se fonde et doivent au minimum inclure :

  • l’identité du responsable du traitement ;
  • les catégories de données traitées, conformément à l’article 5.1 du RGPD (« adéquates, pertinentes et limitées à ce qui est nécessaire ») ;
  • les catégories de personnes concernées ;
  • la durée de conservation ;
  • les destinataires ou catégories de destinataires ;
  • les circonstances et finalités de la communication des données ;
  • les éventuelles limitations des obligations et/ou droits visés aux articles 5, 12 à 22 et 34 du RGPD.

Sans surprise, ces éléments n’étaient pas prévus dans la législation invoquée. Si ces éléments font aujourd’hui plus souvent partie des nouvelles lois, ce n’est pas toujours le cas. Dans ces situations, le responsable du traitement doit lui-même évaluer la nécessité du traitement et la mettre en balance avec les intérêts des personnes concernées, en la documentant. Ce n’était pas le cas ici, et la CC constate donc une violation liée à l’absence de base légale valide.

Minimisation des données et privacy by design

La CC examine ensuite le principe de minimisation des données. Le plaignant estime que les caméras ANPR sont une solution disproportionnée (« un canon pour tuer une mouche »). Selon lui, des panneaux et des contrôles ponctuels auraient suffi, et le trafic de transit se déplace simplement ailleurs.

La commune indique avoir examiné des alternatives, mais les juge inefficaces ou irréalisables. La CC constate cependant que cette analyse a été menée uniquement sous l’angle de la mobilité, et non de la protection des données. Autrement dit, une solution efficace du point de vue du trafic ne l’est pas nécessairement du point de vue des droits fondamentaux.

Cette analyse n’ayant pas été documentée, la CC constate une violation de l’article 5.1.c (minimisation) et de l’article 25 (privacy by design).

Elle ajoute également plusieurs manquements :

  • absence de durées de conservation appropriées ;
  • conservation et couplage de données de visiteurs et de résidents (qualifié de « contact tracing » par l’Inspection, de manière jugée exagérée par la CC) ;
  • consultation excessive de données dans la Banque-Carrefour des Véhicules (DIV), au-delà de l’autorisation obtenue ;
  • mesures de sécurité insuffisantes (logging, registre de consultation) ;

DPIA insuffisante

La commune avait bien réalisé une DPIA, mais celle-ci ne répondait pas aux exigences :

  • absence de description complète des traitements ;
  • consultations du Registre national non mentionnées ;
  • description insuffisante du système d’autorisations ;
  • absence d’analyse de nécessité et de proportionnalité ;
  • documentation insuffisante des risques et mesures d’atténuation.

La CC souligne qu’une DPIA correctement réalisée aurait permis d’éviter une grande partie des manquements.

Conclusion

Tout n’est pas négatif : après une première intervention de l’Inspection, la commune a désactivé les caméras et cessé les consultations des registres concernés. La CC reconnaît également la complexité du dossier et les efforts fournis (implication du DPO, DPIA, information des citoyens, consultation du chef de police, protocole avec la DIV).

En conclusion, l’APD se limite à un avertissement, mais décide de publier la décision en mentionnant la commune et les autres institutions concernées (DIV et SPF IBZ).

Date
30.04.2026

Dernières nouvelles

Leadership Webinar: Decision-Making Under Pressure | 30.4.26 – 17:00
Threat & Vulnerability Management : passer d’une gestion réactive à une discipline de sécurité proactive
Stay Tuned as DPO: T1 2026 : un trimestre riche en enseignements en matière de protection des données
DPO pratique : du modèle à la jurisprudence

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire